騰訊御見威脅情報中心發(fā)現(xiàn)新Satan勒索病毒變種

　　3月4日消息 據相關媒體報道，騰訊御見威脅情報中心日前發(fā)現(xiàn)了一種Satan勒索病毒的最新變種。值得一提的是，該變種病毒不僅可以對Windows系統(tǒng)和Linux系統(tǒng)進行無差別攻擊，還可以在中招電腦中植入勒索病毒勒索比特幣，并植入挖礦木馬挖門羅幣！下面讓我們來了解一下。

　　研究人員稱：“病毒入侵系統(tǒng)后，同時植入勒索病毒和挖礦病毒的情況十分罕見，甚至令人舉得匪夷所思。這是因為挖礦病毒需要較長時間潛伏，生存時間越長，收益越大；而勒索病毒一旦加密用戶數據，便會很快被用戶注意到。用戶一旦發(fā)現(xiàn)系統(tǒng)中了勒索病毒，往往會檢查系統(tǒng)進行病毒查殺，或者將系統(tǒng)從網絡斷開，挖礦病毒便會難以藏身。”

　　那么，這個Satan病毒最新變種是如何做到“雙重攻擊”的呢？

　　經研究后發(fā)現(xiàn)，一方面，該病毒會在中招的Windows電腦中植入攻擊模塊conn.exe，該模塊通過使用永恒之藍漏洞對局域網Windows電腦進行攻擊；

　　另一方面，病毒會通過利用JBoss、Tomcat、Weblogic、Apache Struts2多個組件漏洞以及Tomcat弱口令爆破對Windows、Liunx服務器進行攻擊，并在中招的Linux機器上植入攻擊模塊conn32/conn64，通過上述方式針對Linux系統(tǒng)利用SSH弱口令進行爆破攻擊。

　　至此，最新的Satan變種木馬的攻擊方式會導致相應的勒索、挖礦木馬同時在Windows系統(tǒng)、Linux系統(tǒng)中進行蠕蟲式傳播！也就是說，母體fast.exe在攻擊成功后首先被植入，隨后作為downloader運行后下載勒索模塊cpt.exe，挖礦模塊srv.exe以及攻擊模塊conn.exe。

　　安全建議：

　　1、服務器暫時關閉不必要的端口（如135、139、445），方法可參考：https://guanjia.qq.com/web_clinic/s8/585.html

　　2、下載并更新Windows系統(tǒng)補丁，及時修復永恒之藍系列漏洞

　　XP、Windows Server 2003、win8等系統(tǒng)訪問：https://www.catalog.update.microsoft.com/Search.aspx？q=KB4012598

　　Win7、win8.1、Windows Server 2008、Windows 10， Windows Server 2016等系統(tǒng)訪問： https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

　　3、定期對服務器進行加固，盡早修復服務器相關組件安全漏洞，安裝服務器端的安全軟件

　　4、服務器Tomcat后臺登錄、SSH登錄使用高強度密碼，切勿使用弱口令，防止黑客暴力破解

　　5、使用安全軟件攔截可能的病毒攻擊